5.2.2.3. 验证 ID 映射
验证 ID 映射:
- 在 Windows ActiveActive Directorynbsp;Directory 域控制器(DC)上运行以下命令,以列出最高 ID:
C:\> dcdiag /v /test:ridmanager /s:ad.example.com ... Available RID Pool for the Domain is 1600 to 1073741823 ... - 列出 IdM 服务器上的 ID 范围:
[root@ipaserver ~]# ipa idrange-find ---------------- 1 range matched ---------------- Range name: AD.EXAMPLE.COM_id_range First Posix ID of the range: 610600000 Number of IDs in the range: 200000 First RID of the corresponding RID range: 0 Domain SID of the trusted domain: S-1-5-21-796215754-1239681026-23416912 Range type: Active Directory domain range ---------------------------- Number of entries returned 1 ----------------------------在后续步骤中,您需要第一个 POSIX ID 值。 - 在 ActiveActive Directorynbsp;Directory DC 上,显示安全标识符(SID)或用户。
例如,显示管理员的SID:C:\> wmic useraccount where name="administrator" get sid S-1-5-21-796215754-1239681026-23416912-500SID 的最后一部分是相对标识符(RID)。在下一步中,您需要用户的 RID。注意如果 RID 大于默认 ID 范围(200000),请使用 ipa idrange-mod 命令扩展范围。例如:# ipa idrange-mod --range-size=1000000 AD.EXAMPLE.COM_id_range
- 显示 IdM 服务器中同一用户的用户 ID:
[root@ipaserver ~]# id ad\\administrator uid=610600500(administrator@ad.example.com)... - 如果您将第一个 POSIX ID 值(610600000)添加到 RID(500),它必须与 IdM 服务器中显示的用户 ID(610600500)匹配。
